RGPD

Contexte et émergence

Notes liminaires

Nous vous proposons ici un format atypique constitué d’une série de deux articles. Le premier aura pour mission de balayer rapidement le contexte
des dernières décennies et les dynamiques majeures ayant mené à la création du RGPD.

Quant au second article, il vous proposera une approche du sujet en termes d’analyse de la philosophie du règlement, de ses principaux impacts business,
ainsi que des grandes évolutions pour les citoyens et les autorités de contrôle.

Nous espérons que cette approche vous offrira une vision et une compréhension plus complète du sujet et vous invitons sans plus attendre à embarquer
avec nous pour cette première partie !

 

Afin de comprendre le contexte et l’émergence du RGPD, il sera nécessaire d’évoquer les questions de volumes de données (ou data) et les enjeux liés à leur développement exponentiel. Le récit se repositionnera ensuite dans le cadre des années 1970 en France et en Europe pour dérouler la frise ayant mené aux premiers travaux du RGPD au début des années 2010.

L’objectif est ici de conjurer l’image d’un RGPD brusque, surgissant subitement au cœur d’un « Far West » du Big Data, en replaçant sa création comme aboutissement d’une logique étalée sur plus de quatre décennies.

L’ère des mégadonnées

Tenter d’appréhender la complexité des flux de traitements de données et la pluridisciplinarité des enjeux soulevés passe nécessairement par la prise de conscience des volumes colossaux à l’œuvre aujourd’hui.
Ainsi, la production de l’humanité représente :

  • Chaque jour : 2 500 000 000 000 000 000 bytes de data
  • Tous les 2 jours : autant de data qu’entre le début de l’Histoire et 2003
  • Tous les 2 ans : assez de data pour doubler le volume global
  • Entre 2016 – 2018 : 90% du volume global actuel de data

Si cette vélocité exponentielle est relativement récente (années 2000), il est à noter que le phénomène et l’entrée dans une ère de grands volumes de data remontent aux années 1970 (on parle alors de Very Large DataBase ou VLDB).
Cependant, c’est bien cette conjonction moderne de production effrénée et d’échanges sans précédents qui ont donné naissance au concept de Big Data.
Appellation omniprésente mais à la définition souvent floue, ce dernier repose sur 4 critères principaux :

  • Volume (extraordinaire de données à disposition)
  • Diversité (tant des sources d’émissions que de la nature même de data)
  • Rapidité (croissante de création, de transfert et de croissance)
  • Fiabilité (fortement variable, allant de la donnée scientifique à l’opinion anonyme)

Des enjeux qui dépassent le simple traitement
Ce changement de paradigme questionne évidemment en premier lieu les acteurs du traitement de data dans leur capacité de sélection, de traitement et de stockage de ces gigantesques flux.
Dans un second temps, cette situation interpelle également nos sociétés au regard de ses impacts quant à :

  • La construction de l’Histoire (soit le contenu et la forme des informations sélectionnées pour être transmises)
  • L’écologie (par le coût environnemental de la production, du traitement et du stockage de data)
  • L’exercice des droits et libertés fondamentaux des individus

En effet, c’est précisément ce dernier élément qui est toujours moteur des débats après plus de 40 ans de légiférations, et dont la plus récente incarnation européenne est le RGDP. Fortement anxiogène pour un grand nombre d’entités depuis son adoption en mai 2016, ce règlement cristallise doutes, inquiétudes et espoirs autour du 25 mai 2018, date de sa mise en application.
Il serait donc incorrect de lire dans les réactions autour du RGPD une dynamique nouvelle. Dès les années 1970, l’informatisation des administrations puis des entreprises françaises soulève des débats sur la protection des informations personnelles. Cette vague d’informatisation marque alors le passage de longs traitements manuels et d’une dissémination administrative à la capacité technique d’automatiser et de centraliser de grandes quantités d’information.
Si les énormes gains de temps en termes d’accès et de traitement, et l’affranchissement des taches à faible valeur ajoutée sont mis en avant, des inquiétudes naissent également quant au futur des droits et libertés individuels.

SAFARI ou la chasse aux français
Or, au début des années 1970, le ministère de l’Intérieur français amorce secrètement un vaste projet d’interconnexion de fichiers des administrations françaises (Police, Justice, Renseignements, Sécurité sociale, Armées, Banque).
Baptisé SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), ce projet vise à centraliser les informations individuelles auprès du ministère en se basant sur le numéro qu’attribue l’INSEE à chaque individu depuis la fin de la Seconde Guerre mondiale : le numéro dit « de sécurité sociale ».
Cependant, dès 1974, des informaticiens impliqués dans ce projet endossent le rôle de donneurs d’alerte en contactant le journal Le Monde et en partageant leurs objectifs.
Le célèbre article « SAFARI ou la chasse aux français » parait alors, suscitant un vif émoi et engendrant un débat publique tels que le gouvernement crée rapidement une commission appelée « Informatique et libertés ».

Loi Informatique et Libertés
Deux ans plus tard, un projet de « Loi Informatique et Libertés », inspiré par le rapport de la commission, consacre des guidelines quant au traitement et à la protection des données personnelles et annonce la création d’une autorité de contrôle indépendante, la Commission Nationale de l’Informatique et des Libertés (CNIL).

Ce projet de loi répond alors à deux objectifs connexes :

  • Éviter une informatisation incontrôlée des administrations centrales qui menacerait la vie privée et les libertés individuelles
  • Rassurer l’opinion afin d’éviter un blocage social du développement de l’informatique

En ce sens, parmi les guidelines mises en avant par le projet de loi, plusieurs éléments posent les bases de la protection des données personnelles :

  • L’accès direct des citoyens aux fichiers et le droit de modification, car toute personne pensant figurer sur un fichier informatisé pourra demander qu’on lui communique clairement ce qui y figure et exiger correction de ces informations (exceptions : les cas touchant à la sureté d’état, la défense nationale et la sureté publique)
  • Le droit d’information et la transparence, car toute personne interrogée devra être informée du caractère obligatoire ou non de ses réponses ainsi que des entités ou individus pouvant accéder aux réponses
  • Une amorce de hiérarchisation des données, car ne pourra être conservée aucune donnée relative à l’ethnie, la religion ou aux sensibilités politiques

Il est extrêmement intéressant de remarquer qu’en dépit des évolutions techniques et des problématiques récentes liées au Big Data, le cœur des enjeux est le même plus de 40 ans après l’adoption de la « Loi Informatique et Libertés ».
En effet, les notions d’information et de consentement des cibles de collecte de données, de droit d’accès et de correction, de transparence quant aux acteurs du traitement et de définition de données dites sensibles animent intimement le projet de RGPD.

Des guidelines internationales se dessinent
En 1980, soit deux ans après l’entrée en vigueur de la loi française, l’OCDE publie des « Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel ».
Il s’agit alors d’une proposition d’harmonisation des niveaux de sécurité de traitement et de protection des données au niveau international, donc de faciliter leurs transferts en réduisant les risques par l’adoption d’exigences communes.
On retrouve parmi ces guidelines des principes de :

  • Limitation en termes de collecte
  • D’exigence de qualité de traitement
  • De limitation des utilisations
  • De garanties de sécurité
  • D’implication des individus cibles de collectes
  • De responsabilisation des acteurs de traitement

Dans une démarche similaire, en 1981, le Conseil de l’Europe promulgue une « Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ».
Ici encore, nous assistons à une formalisation de recommandations et de guidelines incitant les 47 États membres à en effectuer une reprise au sein de leurs législations nationales.
Cette Convention s’appuie alors fortement sur les travaux de la France en la matière, présentant la « Loi Informatique et Libertés » de 1978 comme exemple de bonne pratique.

Une Directive, première incarnation du futur RGPD

Il faut cependant attendre 1995 pour qu’une Directive européenne regroupe et renforce la somme des travaux des précédentes décennies. Pour rappel, une Directive européenne lie les états membres en termes d’objectifs à atteindre, tout en leur laissant le choix des moyens et de la forme pour atteindre l’objectif dans les délais fixés.
Ainsi naît la Directive européenne « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », qui constituera pendant 20 ans le socle commun à tous les pays de l’Union Européenne en matière de protection des données personnelles.
Ce dernier définit pour la première fois un véritable objectif d’harmonisation des normes entre membres de l’UE en matière de niveau de protection des données, permettant donc de favoriser la libre circulation de data entre eux, mais également vers des pays tiers.
Cette Directive, que nous pouvons considérer a posteriori comme un premier jet des ambitions du RGPD, propose alors un ensemble de définitions et de principes communs tels que :

  • La définition de la notion de donnée à caractère personnel, d’un système de traitement et d’un responsable de traitement
  • La reprise de principes généraux et de droits édictés dans la « Loi Informatique et Libertés » de 1978 et l’encadrement des traitements automatisés (qualité de donnée, légitimité de traitement, catégories pouvant être collectées, droits d’accès, consentement et droit d’opposition, droit de notification, confidentialité et sécurité des traitements)
  • D’extraterritorialité et de transferts vers des pays hors UE, en introduisant des clauses contractuelles relatives au niveau attendu de sécurité de transfert, de traitement et de stockage d’un tiers amené à traiter des données de citoyens de l’UE
  • La demande faite aux membres d’instituer une Autorité de Protection des Données (APD) sur la base de la CNIL et la création du G29, organe consultatif européen coordonnant l’activité de ces APD

Mises à jour en France
Pour la France, la réappropriation de cette Directive en législation nationale s’opère en 2004, à travers la loi « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978 ».
Cette intégration représente d’une part l’opportunité d’une mise à jour de la loi précurseuse de 1978, et d’autre part la réévaluation des attributions effectives de l’APD de référence : la CNIL.
En ce sens, la mise en application des éléments concernant la CNIL passe par :

  • L’évolution d’un contrôle des fichiers a priori à un contrôle a posteriori
  • Des pouvoirs d’investigation, d’accès et d’intervention renforcés
  • Des pouvoirs de sanction gradués allant du simple avertissement aux amendes administratives

Découlant du même esprit, cette loi permet aux entités de traitement de données désignant un Correspondant Informatique et Liberté (CIL) d’être dispensées de nombreuses formalités déclaratives auprès de la CNIL, le CIL devenant le point de contact privilégié et le garant d’une bonne tenue administrative.

Le lancement des travaux du RGPD
Bien que la Directive de 1995 ait favorisé une dynamique d’harmonisation, force a été de constater la subsistance de fragmentations législatives entre États membres dans le domaine des données personnelles (divergences quant à la définition précise de donnée à caractère personnel, aux conditions de transferts et de traitement, …) pendant les deux décennies suivantes.
Par ailleurs, les rapides mutations de l’environnement numérique et du volume de production de data entre l’ouverture du World Wide Web et les années 2010 poussaient la législation européenne à évoluer.

De la même manière, l’apparition et le développement d’acteurs incontournables de la data (tels que Google ou Facebook), ainsi que l’éruption de scandales internationaux liés à l’espionnage (ECHELON, Snowden, …) ou aux larges fuites de données non signalées rendaient brûlante et incontournable la question d’une harmonisation modernisée.
C’est dans ce contexte que la Commission européenne propose en janvier 2012 une réforme globale des règles de protection des données au sein de l’UE.
Si la première copie est rejetée par la majorité des États membres, arguant un manque d’équilibre entre intérêts économiques numériques et protection des citoyens, le chantier de refonte de la Directive est néanmoins lancé.
Ambitieux, le projet de Règlement européen a plusieurs visées :

  • Mettre à jour les principes de la Directive de 1995 et harmoniser les législations au sein des membres de l’UE
  • Donner aux citoyens le contrôle de leurs données tout en simplifiant l’environnement réglementaire pour les entreprises
  • Investir le domaine des activités policières et judiciaires (délaissées par la Directive)
  • Former un bloc européen cohérent et robuste au niveau international, sur le thème de la protection et des exigences de qualité de transferts et de traitement hors frontières de l’UE

Après quatre ans de négociations législatives entre la Commission, le Parlement et le Conseil de l’UE, le texte du RGPD est adopté puis entre en vigueur en l’état et pour tous les membres le 24 mai 2016.

La même année, la France adopte la « Loi pour une République numérique », dont l’un des volets traite de la protection des citoyens dans la société numérique, afin d’anticiper la mise en application du nouveau Règlement européen.
Bien qu’étant immédiat et universel pour les membres de l’UE, le RGPD prévoit cependant un délai d’application de deux ans, laissant donc aux entités jusqu’au 25 mai 2018 pour enclencher leurs projets de mise en conformité.

Synthèse


A titre de synthèse, replacer l’émergence du RGPD dans le contexte des 40 dernières années et des successives architectures législatives, tant nationales qu’européennes, permet d’appréhender ce nouveau socle commun en tant qu’aboutissement naturel et cohérent de rapports de force transverses.
Ainsi, bien que techniques et enjeux aient évolué entre les années 1970 et 2010, bien qu’acteurs publics et privés du traitement aient changé de formes et d’objectifs, et bien que le sujet transcende les échelles, de l’individu aux groupements d’États, les passions animant le débat demeurent les mêmes.
En ce sens, il devient évident que le RGPD ne constitue pas une simple contrainte conjoncturelle mais incarne un faisceau intemporel d’attentes, éclairant les bonnes pratiques permettant de tendre vers un idéal d’équilibre entre développement économique et technique, et respect des droits et libertés individuels.